2026-01-18 02:24:32 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周报涵盖英国NCSC发布OT安全原则，微软、Fortinet、Siemens等修补多个高危漏洞，含零日漏洞与RCE风险。安全事件显示西班牙能源与韩国企业遭勒索攻击，波兰挫败电网袭击。风险预警指出制造业勒索激增32%，AMD与ESXi漏洞威胁虚拟化安全。建议企业尽快修补漏洞并强化关键基础设施防护。 综合评分： 60 文章分类： 漏洞预警,威胁情报,恶意软件,安全大事件,政策法规

cover_image

工业网络安全周报-2026年第3期

OT网络安全领军者 OT网络安全领军者

安帝Andisec

2026年1月17日 12:04 北京

本文预计阅读时间32分钟

BREAKING NEWS

本期摘要

政策法规方面，英国NCSC联合多国发布OT网络安全设计原则，强化关键基础设施法律合规要求。

漏洞预警方面，Fortinet针对FortiFone与FortiSIEM的高危漏洞发布补丁；Palo Alto修复GlobalProtect远程拒绝服务（DoS）漏洞；微软发布补丁，修复零日漏洞及111项Windows安全缺陷；Node.js修复严重漏洞，防止服务崩溃引发拒绝服务攻击。Siemens发布工业边缘设备认证绕过高危警报，影响多个SCADA和边缘计算系统；海康威视安全摄像头与门禁设备发现堆栈溢出漏洞，可能导致远程代码执行或拒绝服务。此外，Sicarii勒索软件针对暴露RDP服务进行广泛网络侦察，增加企业被入侵风险；ServiceNow修复关键身份冒用漏洞，避免未认证攻击者提升权限。

安全事件方面，西班牙能源公司Endesa遭黑客入侵影响运营；韩国Kyowon集团勒索软件攻击致千万账户或受影响；乌克兰国防部队被PLUGGYAPE恶意软件入侵，窃取敏感信息；Everest勒索软件声称侵入日产汽车系统，900GB内部数据外泄；波兰称挫败针对国家电网的重大网络攻击并指向俄罗斯。

风险预警方面，2025年全球勒索软件攻击激增32%，制造业成为重灾区；AMD StackWarp漏洞威胁机密虚拟机安全；VoidLink攻击Linux云平台；ESXi虚拟化隔离被“Maestro”工具突破，实现VM逃逸；Lumen封堵550+僵尸网络C2服务器削弱Aisuru/Kimwolf威胁；APT28凭证窃取行动波及土耳其、欧洲及中亚多组织。

政策法规

1、英国NCSC联合多国发布OT网络安全设计原则，强化关键基础设施法律合规要求

2026年1月15日，英国国家网络安全中心(NCSC)牵头，联合澳大利亚、加拿大、美国、德国、荷兰、新西兰等多国网络安全机构发布《运营技术安全连接原则》，为资产所有者和运营商在连接OT网络时提供目标导向的安全设计框架。该指南回应了业务数字化和监管压力下OT互联需求上升所带来的网络风险，尤其面向关键服务运营商。文件提出八项核心原则，强调连接设计应以运行韧性为核心，不得损害OT系统的安全性、可靠性和可用性。指南要求组织在权衡连接价值与风险的基础上，减少不必要的访问路径，集中化和标准化连接架构，采用安全、标准化协议，并通过强化OT边界、防止横向移动来降低攻击面。文件强调“安全设计”和供应链风险管理，鼓励设备制造商和系统集成商提供易于实施和维护的安全产品，并配套完整文档。多国机构指出，系统化应用这些原则，有助于缩小攻击面、提升监测与响应能力，抵御包括国家支持攻击在内的高能力威胁，保障关键基础设施安全运行。

资料来源：

http://sya.d11k.top/w/ZPlNVk

漏洞预警

2、Fortinet发布补丁修复FortiFone与FortiSIEM重大安全漏洞

2026年1月14日，网络安全厂商Fortinet近日发布安全更新，修补其多款产品中共计六个漏洞，其中包括FortiSIEM与FortiFone中的两个关键级（Critical）缺陷。FortiSIEM中编号为CVE-2025-64155的漏洞（CVSS评分9.4）属于操作系统命令注入，可被未认证攻击者通过精心构造的TCP请求执行任意代码或命令，影响版本包括7.1至7.4系列中的Super与Worker节点；Fortinet建议通过限制phMonitor端口（7900）访问作为缓解措施。另一个关键漏洞CVE-2025-47855（CVSS评分9.3）影响FortiFone设备的Web门户，攻击者可在无需认证情况下通过特制HTTP/HTTPS请求泄露设备配置，该缺陷已在最新FortiFone 3.0.24及7.0.2版本中修复。此次补丁还涵盖了在FortiOS与FortiSwitchManager中发现的高危堆栈缓冲区溢出漏洞（CVE-2025-25249，CVSS 7.4），可能导致远程未认证命令执行，以及FortiClientEMS、FortiVoice中的中等风险漏洞和FortiSandbox中的低风险问题。Fortinet未提及这些漏洞被实地利用的证据，但仍强烈建议用户尽快升级相关设备以消除安全风险。

资料来源：

http://t6d.d11k.top/w/hCE5Dt

3、微软修复“零日”漏洞及111项Windows安全缺陷

2026年1月13日，微软在2026年首个“补丁星期二”更新中修补了共112个安全漏洞，包括一个已在野外被利用的Windows零日漏洞（CVE-2026-20805）。该漏洞属于Windows桌面管理器（Desktop Windows Manager）组件的信息泄露问题，攻击者可借此泄露敏感本地内存数据。Trend Micro旗下ZDI认为此漏洞可能被纳入更复杂的漏洞链以实现任意代码执行。除了该零日问题外，本次更新还修复了两个在补丁发布前已公开披露的漏洞（包括Secure Boot绕过与权限提升问题），其中公开披露的权限提升漏洞更可能在野外被利用。总体来看，本次修补的漏洞中有8个被评为“关键”，多数可导致远程代码执行，还有部分涉及权限提升风险。影响范围不止Windows操作系统，还包括Office、Azure、SharePoint等微软产品，显示漏洞分布广泛。微软未提供关于该零日漏洞实际攻击细节，但相关安全机构对此类内存泄露漏洞可能被用作攻击链重要一环发出警告。用户和组织被建议尽快部署这些补丁以防潜在攻击风险，同时关注未来可能的补丁与安全公告更新。

资料来源：

http://heb.d11k.top/w/DjMpQc

4、Node.js修复严重漏洞，防止服务崩溃导致拒绝服务攻击

2026年1月14日，Node.js发布安全更新，修补了一个被评为关键的安全漏洞（CVE-2025-59466），该漏洞与异步钩子（async_hooks）机制及其在AsyncLocalStorage中的实现相关，可导致Node.js进程在用户代码递归调用栈溢出时直接退出，从而触发拒绝服务（DoS）条件，影响“几乎所有生产环境的Node.js应用”。漏洞的核心问题是当启用async_hooks时，栈空间耗尽不会抛出可捕获错误，而是以退出代码7终止进程，这一行为破坏了框架和应用性能监控工具（如React Server Components、Next.js、Datadog、New Relic等）对栈溢出恢复的依赖，使深度递归受未清洁输入控制的服务容易成为攻击目标。Node.js社区已在20.20.0、22.22.0、24.13.0和25.3.0版本中修复该问题，并调整处理逻辑以在栈溢出情况下将错误重新抛回用户代码。虽然官方将此次修复视为缓解措施而非彻底解决办法，但仍大幅提升了错误处理的一致性和可预测性。报道还提到Node.js在同一安全更新中修复了其他高危缺陷，包括HTTP/2帧处理导致崩溃、权限模型绕过等漏洞，建议开发者和服务提供者尽快升级以降低风险。

资料来源：

http://mea.d11k.top/w/fKyFPB

5、Siemens发布最高严重性漏洞警报：工业边缘设备存重大认证绕过风险

2026年1月14日，西门子对其Industrial Edge Device Kit及相关工业边缘与SIMATIC设备发布安全预警，揭示存在一个CVE-2025-40805的关键认证绕过漏洞，该漏洞被评为最高严重性CVSS 10.0（v3.1及v4.0），可允许未经认证的远程攻击者借助合法用户身份信息绕过认证机制并冒充真实用户访问系统，从而获取对设备和数据的完全控制权。漏洞核心在于部分API端点未正确强制执行身份验证，导致攻击者可在网络上远程执行未经授权的操作，影响设备的机密性、完整性与可用性。受影响的产品包括广泛部署的Industrial Edge Device Kit（arm64与x86-64多个版本）、SCALANCE LPE9413/9433、SIMATIC HMI统一面板与自动化工作站以及SIMATIC IOT2050等系列，其中部分设备可以通过升级到指定的修复版本（如V1.24.2、V1.25.1或V21及以上）来缓解风险，而另一些产品当前尚无可用补丁。西门子建议用户尽快更新产品版本，并采取网络访问限制等通用安全机制以减少暴露面，同时按照工业安全最佳做法进行环境隔离和访问控制等防护。由于该漏洞允许远程、低复杂度利用且不需用户交互，其在工业自动化与边缘计算场景中构成高风险隐患，对工业物联网与SCADA系统运营者提出紧急安全响应要求。

资料来源：

http://q2c.d11k.top/w/baBMuP

6、Palo Alto修复GlobalProtect远程拒绝服务（DoS）严重漏洞

2026年1月15日，Palo Alto Networks发布安全更新，修补了影响其GlobalProtect Gateway与Portal组件的高危拒绝服务漏洞（CVE-2026-0227，CVSS评分7.7），该漏洞存在于启用GlobalProtect的PAN-OS防火墙与Prisma Access配置中，攻击者无需登录即可反复触发异常条件，导致目标防火墙进入维护模式、服务中断甚至崩溃。受影响的PAN-OS版本包括多个11.x、12.x和10.2/10.1系列以及对应的Prisma Access版本，且没有已知可行的缓解措施，用户需通过更新到厂商发布的补丁版本才能修复该漏洞。Palo Alto指出，目前尚无证据表明该漏洞在真实环境中被恶意利用，但由于过去GlobalProtect组件曾频繁遭扫描与攻击，建议管理员尽快应用补丁以降低潜在风险。该漏洞特别影响启用了GlobalProtect网关或门户的系统，而Cloud Next-Generation Firewall自身未受影响。由于过去一年公开扫描活动频繁，暴露的GlobalProtect端点仍可能成为攻击目标，因此及时升级和监控依然十分关键。此次修复强调了企业在维护远程访问与VPN基础设施时需要持续关注最新安全通告和补丁发布。

资料来源：

http://uab.d11k.top/w/hCE5Dt

7、海康威视安全摄像头与门禁设备存在堆栈溢出高危漏洞

2026年1月13日，据海康威视（Hikvision）官方安全通告及相关安全数据库信息披露，部分海康威视安全摄像头、网络录像机（NVR/DVR/CVR/IPC）及门禁控制产品的“设备搜索与发现”功能存在两个堆栈溢出（Stack Overflow）漏洞（CVE-2025-66176与CVE-2025-66177）。这类漏洞可被处于同一局域网（LAN）的未认证攻击者通过发送特制网络数据包触发，导致设备服务异常、功能中断甚至拒绝服务（DoS），并可能进一步带来安全控制失效等风险。受影响产品包括海康威视部分门禁控制系列与视频监控设备系列，具体型号列表可在官方安全响应中心查询。该漏洞由Cisco Talos团队及独立安全研究人员报告，海康威视已在官网发布更新补丁与固件，但用户需主动下载并升级以修复这些缺陷。鉴于现代安防设备广泛部署在企业、公共设施及工业场景，上述堆栈溢出漏洞如果被利用，可能影响设备稳定性与整体网络安全态势，因此建议安全运营者尽快评估受影响设备、及时应用补丁、并通过网络隔离与访问控制等措施降低潜在风险。

资料来源：

http://ffb.d11k.top/w/a2NarN

8、Sicarii勒索软件新行动针对暴露的RDP服务实施广泛网络侦察与利用

2026年1月15日，2025年12月出现一个名为 Sicarii 的新型勒索软件即服务（RaaS）行动，此组织以希伯来语符号与历史背景进行品牌宣传，并声称只针对阿拉伯和穆斯林国家的组织，避免攻击以色列系统。分析显示Sicarii恶意软件在执行阶段具备反虚拟化检测、迂回分析阻断等技术，通过复制到临时目录并测试互联网连接以确认运行条件。其传播后进行网络侦察，利用ARP请求和端口扫描识别受害网络中暴露的远程桌面协议（RDP）服务，并尝试利用Fortinet设备中的CVE-2025-64446漏洞作为横向移动途径，扩大入侵范围。恶意软件不仅扫描RDP服务，还收集系统凭证、浏览器数据、Discord/Slack/Telegram会话信息及加密货币钱包等敏感数据，并将所有采集的信息打包后外泄。完成数据外泄后，Sicarii通过注册表修改、服务创建和硬编码凭据等方式建立持久性，并采用 AES-GCM 256-bit加密目标文件，添加.sicarii扩展名进行加密勒索。同时，其破坏性组件还会部署启动脚本损坏系统引导加载程序强制系统关闭，增加恢复难度。报告强调组织应优先修补Fortinet设备漏洞、实施网络分段与RDP限制等安全措施，以阻止这一新兴威胁的传播与破坏。

资料来源：

http://05d.d11k.top/w/o3gKNd

9、ServiceNow修复关键身份冒用漏洞

2026年1月13日，Cloud平台供应商ServiceNow披露并修补了一个严重安全漏洞（CVE‑2025‑12420），该漏洞存在于其AI平台中的权限升级机制，CVSS评分高达9.3（严重），允许无需身份验证的攻击者假冒合法用户并执行该用户权限范围内的未授权操作。该漏洞由安全公司AppOmni于2025年10月发现并上报，影响ServiceNow的Assist AI Agents与Virtual Agent API等关键组件，若未及时修复，攻击者可能在未认证前提下访问敏感数据、修改配置甚至横向移动至企业网络其他资产。ServiceNow于2025年10月30日向大多数托管实例推送补丁，并向合作伙伴与自托管部署客户提供修复版本，受影响组件需升级至最低版本Assist AI Agents 5.1.18/5.2.19及Virtual Agent API 3.15.2/4.0.4或更高。官方提醒，尽管目前尚未观察到真实环境中的利用案例，但漏洞公开后攻击者通常迅速开发利用工具，存在被后续滥用的风险，因此强烈建议所有客户立即安装补丁，确保托管与自托管环境均应用安全更新。该事件凸显现代SaaS平台在AI组件中潜藏的安全隐患，以及严格更新与漏洞管理对企业运维安全的重要性。

资料来源：

Critical ServiceNow Vulnerability Enables Privilege Escalation Via Unauthenticated User Impersonation

安全事件

10、西班牙能源公司Endesa遭黑客攻击

2026年1月13日，西班牙大型能源公司Endesa及其关联的商业平台遭遇未经授权的数据泄露事件，黑客成功访问并可能窃取了客户的关键个人信息，包括基本身份识别信息、联系方式、国民身份证号码（DNI）、合同详情及支付信息（如IBAN账号），但公司强调客户密码未受影响。Endesa拥有约1000万西班牙客户及超过1000万其他欧洲国家客户，泄露范围可能涉及超过2000万条记录。公司已迅速采取措施：封锁受影响账户、分析日志文件、实施额外安全防护并持续监控系统，同时已通知受影响客户及监管机构。截至报道时尚无证据显示窃取的数据被用于欺诈或滥用，但Endesa建议客户保持警惕以防身份盗用、网络钓鱼等风险。部分威胁行为者在黑客论坛声称获取了约1.05TB的客户数据库并试图在暗网上出售，引发客户对数据保护措施的质疑。Endesa表示其运营正常，并已从系统中移除入侵者，全面调查仍在进行中。

资料来源：

http://cra.d11k.top/w/zneWAH

11、韩国Kyowon集团遭遇勒索软件攻击，千万账户或受影响

2026年1月15日，韩国大型企业Kyowon集团于2026年1月10日发现内部系统异常，随即启动应急响应并隔离受影响服务器，确认遭遇疑似勒索软件攻击，导致旗下教育、出版、旅游、医疗等多个核心子公司业务系统中断，多家关联网站下线。攻击者通过一个对外暴露的服务器端口渗透进企业网络，横向扩散至集团内部，影响了约600台服务器（800台总量中约75%），并引发勒索及潜在数据泄露迹象。韩国互联网安全局（KISA）参与调查，官方估计此次入侵可能涉及约9.6百万个用户账号（包含多个账户的重叠情况，约5.54百万独立用户），但Kyowon尚未确认个人信息是否真正泄露，并正在与安全专家协作进行全面分析，一旦确认，将按法律程序通知受影响用户。集团已报告该事件给KISA及相关执法机关，正在使用备份数据恢复系统，并强化安全措施；截至目前尚无勒索团体公开认领此事件。此事件是近来针对韩国大型企业的一系列网络攻击之一，类似于此前Coupang、Korean Air及SK Telecom等数据泄露事故，凸显韩国大型企业面临的勒索软件与数据安全风险不断上升的态势。

资料来源：

http://cib.d11k.top/w/NrS14K

12、乌克兰国防部队遭到PLUGGYAPE恶意软件攻击

2026年1月14日，乌克兰国家计算机应急响应团队（CERT-UA）发布警报称，从2025年10月至12月，一场针对乌克兰国防军的精心策划网络攻击行动中部署了新型后门恶意软件PLUGGYAPE，并将此次行动以中等置信度归因于与俄罗斯有关的高级持续性威胁组织Void Blizzard（亦称Laundry Bear/UAC‑0190）。攻击者首先通过即时通讯软件（如Signal、WhatsApp）与目标建立联系，并利用伪装成慈善机构的钓鱼消息和假冒网站引诱受害者下载看似“文件”的恶意可执行文件，这些文件通常包装在有密码保护的压缩包内或带有误导性扩展名如“.docx.pif”，一经打开即触发Python打包的后门程序，安装PLUGGYAPE以获取远程访问权限。报告指出，较新的变种（PLUGGYAPE.V2）引入了基于MQTT协议的C2通信和反分析检测（如虚拟机检测），并借助Pastebin或rentry等公开站点隐藏控制服务器信息以规避防御。该恶意软件可通过WebSocket或MQTT与控制端交换JSON数据，收集受害设备标识并维持持久性，强调当前网络威胁格局下即使是国防力量也面临来自社交工程与隐蔽后门的高复杂度威胁。CERT‑UA提醒广泛使用的即时通讯平台已成为网络攻击的重要载体。

资料来源：

http://x7a.d11k.top/w/LPx7N5

13、Everest勒索软件声称入侵日产汽车系统，称900GB数据被盗

2026年1月12日，著名勒索软件组织Everest于2026年1月10日在其暗网泄露站发布声明，声称成功入侵日本跨国汽车制造商日产（Nissan Motor Co., Ltd.），并从内部系统中外泄约900 GB数据。该组织公布了六张截图与文件目录结构作为所谓证据，显示多个压缩档、文本、CSV电子表格及Excel文件等格式数据，目录似乎包含经营报告、经销商资料、认证报告及理赔流程等企业内部文件，但目前未见明确展示敏感个人隐私内容。泄露样本中的文件夹与文件类型表明攻击者可能已访问运营系统与内部沟通资料，存在更深层及更多敏感信息的风险。Everest给日产设立五天响应期限，威胁若不回应则全面公开数据。日产尚未就此事件发布官方声明。Everest勒索软件组织2025年活动频繁，已宣称攻击包括ASUS、Chrysler、Iberia Airlines、Under Armour、Petrobras、AT&T及都柏林机场等多个大型组织，显示其持续对全球知名企业施压。此前日产也曾在2025年8月遭Qilin勒索团体攻击，而2024年日产确认其澳新区域客户及员工资料被泄露。

资料来源：

http://2qa.d11k.top/w/4c9PTV

14、波兰称挫败针对国家电网的重大网络攻击并指向俄罗斯

2026年1月15日，波兰政府本周披露，在2025年12月底发生的一起针对全国能源基础设施的重大网络攻击已被成功阻止，该攻击被视为近年来最严重的一次企图破坏行动。攻击者试图干扰可再生能源设施（包括太阳能发电场和风力涡轮机）与电力分销运营商之间的通信链路，若成功可能导致大规模停电甚至影响数十万民众。能源部长Miłosz Motyka称这一攻击模式与以往不同，攻击集中在多个较小电源的通信连接上，而非以往主要针对大型发电厂或输电网络。数字事务部长Krzysztof Gawkowski指出，该事件“非常接近停电”，其规模、入侵方式及攻击来源迹象均指向俄罗斯蓄意破坏。不过，波兰方面拒绝披露具体技术细节，也未正式点名具体威胁组织或说明事后采取的防御措施。作为北约成员国和乌克兰的重要支持者，波兰自2022年俄罗斯全面入侵乌克兰以来，持续面临针对关键基础设施的网络威胁。此次事件发生之际，俄罗斯仍在对乌克兰能源系统实施打击，凸显地区能源与网络安全风险的外溢效应。

资料来源：

https://therecord.media/poland-cyberattack-grid-russia

风险预警

15、制造业成为勒索软件袭击重灾区，全球攻击量2025年大增32%

2026年1月15日，根据Comparitech数据，2025年全球勒索软件攻击共计7 419起，同比2024年的5 631起增长32%。其中受影响企业证实的攻击为1 173起，确认泄露的记录近5 920万条，尽管这比2024年1 533起、3.356亿条数据有所减少，但报告指出确认数据仍可能继续增加。制造业是2025年最主要的攻击目标，攻击次数从937起增至1 466起（增长56%），且平均赎金从52.3万美元跃升至近116万美元。法律行业攻击增幅达54%，平均赎金亦上涨60%。相较之下，医疗和教育部门的攻击数基本与前一年持平。地理分布方面，美国遭受3 810起攻击，占总数51%以上；其次是加拿大、德国、英国和法国，而韩国的攻击激增540%。数据泄露事件亦屡见不鲜，包括Conduent、Co-operative Group、Episource、University of Phoenix及DaVita等多起影响千万级别记录的大规模泄露。报告还指出，Qilin、Akira、Clop等勒索软件组织在2025年活动频繁，累计声称窃取约32.7 PB数据。总体来看，2025年勒索软件活动在企业和政府机构中持续高企，制造业尤为突出。

资料来源：

http://xpa.d11k.top/w/2WLA9P

16、AMD处理器新漏洞“StackWarp”威胁机密虚拟机安全

2026年1月15日，德国CISPA Helmholtz信息安全中心的研究团队披露了代号为StackWarp的新型硬件/架构漏洞，影响AMD Zen 1至Zen 5系列处理器，能够突破机密虚拟机（CVM）的保护措施并使恶意主机执行远程代码攻击和权限升级。该漏洞源于CPU前端栈引擎中用于管理栈指针更新的同步机制失效，攻击者可利用该缺陷操控来宾虚拟机的栈指针，劫持控制与数据流。研究人员已在多种攻击场景中演示StackWarp的威力，包括重构RSA-2048私钥、绕过OpenSSH密码认证、规避sudo密码提示甚至在虚拟机内实现内核级代码执行。研究人员指出，这种漏洞破坏了SEV-SNP旨在保障的执行完整性：机密密钥和密码可能被窃取，攻击者可能冒充合法用户或获得系统持久控制，CVM与主机或其他虚拟机之间的隔离不再可靠。AMD已收到通报并发布安全公告，将该漏洞标记为低严重性，并表示受影响的EPYC服务器产品自2025年7月起已提供补丁。StackWarp漏洞编号为CVE-2025-29943。

资料来源：

http://0qa.d11k.top/w/gSlxYm

17、VoidLink恶意软件攻击Linux云平台

2026年1月15日，安全研究人员近日揭露了一种代号为VoidLink的高级Linux恶意软件框架，专门针对云和容器环境展开隐秘攻击。该威胁由具备高度模块化架构的恶意代码构成，集成自定义加载器、植入体、rootkit及30多个插件模块，能够根据环境动态调整攻击策略，并通过复杂的命令与控制（C2）机制维持长期隐蔽的访问。VoidLink在激活后会识别宿主是否运行于Docker容器、Kubernetes集群或主流云服务（如AWS、Azure、Google Cloud、阿里云与腾讯云），并据此收集内核版本、运行进程、EDR安全防护工具等信息计算风险评分，以决定其行为；同时通过加密通信层（如DNS、ICMP、WebSocket）伪装C2流量，以规避网络监控。该框架不仅能对系统进行详尽扫描，还可从云环境中收集凭证与敏感数据，为攻击者提供持久控制与潜在的横向移动能力。当前尚无证据显示VoidLink已在野外大规模部署，但成熟的代码结构与多语言实现（包括Zig、Go、C）表明开发者具备高水平技术实力，且该项目可能作为定制化恶意产品或商业化工具。随着企业越来越依赖云基础设施，VoidLink的出现揭示了Linux平台及云原生环境面临的新型高级威胁。

资料来源：

http://1xd.d11k.top/w/zLx6YE

18、ESXi虚拟化隔离被突破：“Maestro”工具包实现VM逃逸全控制

2026年1月15日，安全研究机构Huntress发布分析报告指出，在2025年12月发现了一起极具技术复杂度的入侵事件，攻击者成功实现了从虚拟机（VM）逃逸并控制VMware ESXi超管程序（hypervisor），打破了虚拟化平台的隔离保障。攻击链始于一个被攻破的SonicWall VPN账号，随后横向渗透至域控制器，最终部署名为“MAESTRO”（exploit.exe）的工具包，该工具通过禁用VMware驱动并利用“自带易受攻击驱动”（BYOVD）技术加载未签名的恶意驱动MyDriver.sys，从而以零日漏洞串联方式突破VMX沙箱。相关漏洞包括CVE-2025-22224、CVE-2025-22225和CVE-2025-22226等，工具包兼容155个ESXi版本。逃逸成功后，攻击者还部署名为VSOCKpuppet的后门，通过高性能的VSOCK虚拟套接字通道实现与宿主的隐蔽通信，绕过传统网络监控与防护。报告强调“虚拟机隔离并非绝对”，建议组织加强ESXi主机补丁及时性、监控异常进程和驱动加载等检测机制，不能仅依赖外围防护。

资料来源：

http://wqd.d11k.top/w/z2HYAU

19、Lumen封堵550+ C2服务器，有效打击Aisuru/Kimwolf僵尸网络

2026年1月15日，网络安全团队Lumen旗下Black Lotus Labs披露，其在2025年10月起针对Aisuru / Kimwolf僵尸网络开展大规模干预行动，通过null-routing（空路由）技术封堵了超过550个命令与控制（C2）服务器，从而切断了这些僵尸网络对被感染设备的指令渠道，显著削弱了其攻击能力与基础设施控制链。Aisuru被视为大型DDoS‑for‑hire服务，可利用感染设备发动高流量分布式拒绝服务（DDoS）攻击与代理滥用，其部分攻击流量曾超过1.5 Tbps；其Android后续变种Kimwolf亦已感染超过180万台设备，发出超过17亿次DDoS命令，并具备代理转发、反向Shell等多功能模块。研究人员通过追踪恶意C2域名与服务器行为，并与行业合作伙伴协作，在四个月内持续封堵新出现的控制节点，同时将这些服务器信息纳入安全产品威胁情报，提升客户防护能力。在行动中，攻击者曾对研究与防御团队发起反向DDoS并在载荷中包含粗俗内容，反映其运营者为牟利驱动而非国家行为体。Lumen表示将继续追踪与阻断Aisuru及Kimwolf相关基础设施，以减少其对互联网服务的威胁与滥用空间。

资料来源：

http://god.d11k.top/w/fEjoQq

20、APT28发起的凭证窃取攻击波及土耳其、欧洲和中亚的组织

2026年1月12日，据Recorded Future的Insikt Group威胁情报分析，自2025年2月至9月，俄罗斯关联的高级持续性威胁组织APT28（又名Fancy Bear/BlueDelta/STRONTIUM等）在一系列定向攻击行动中针对土耳其能源与核机构人员、欧洲智库成员以及北马其顿和乌兹别克斯坦的组织发动凭证收集活动，该组织通过社会工程与伪造登陆页面诱骗受害目标输入凭据以窃取账号信息。APT28精心设计了多种钓鱼引诱手法，包括伪装成Outlook、Google、Sophos VPN的虚假登录界面，并借助免费托管与隧道服务（如Webhook.site、InfinityFree、Byet Internet Services与ngrok）托管恶意凭据收集页面及重定向机制，使受害者在凭据被窃取后仍被导向真实网站以规避安全监测。部分鱼饵还附带合法PDF文档（例如Gulf Research Center与EcoClimate Foundation出版物）以提高仿真度并绕过电邮安全过滤。APT28的这类活动强调其持续针对关键能源、政策与政府相关网络实施低成本、广覆盖的凭证收集型网络间谍行动，表明其长期情报收集优先级与技术调整策略。Insikt Group的报告显示，这一攻击行动不仅涉及多个国家和地区，而且反映出这类国家背景组织对能源和政策领域情报的浓厚兴趣。

资料来源：

http://j2c.d11k.top/w/uIQ12P

往期回顾

工业网络安全情报解码 2026-02期

工业网络安全情报解码 2026-01期

工业网络安全情报解码 2025-49期

工业网络安全情报解码 2025-48期

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。公司主要产品已应用于数千家“关基”企业。

点击“在看”鼓励一下吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安帝Andisec OT网络安全领军者 OT网络安全领军者《工业网络安全周报-2026年第3期》